前言:
到现在我依稀还记得,当初山东一个学生被骗完学费后自杀的故事,当然,这不是个例,
也不能说人各有命,我们只能最大程度的去避免这种类似的事发生。
我看到网上的诈骗案例不少,但缺的是一个通过案例并结合人的本能(社会工程学)的一个分析。
没有分析,就不会清楚自己到底在哪里栽的,将来骗子换个方式,还是会成功。
--以下内容是针对 《i春秋-社会工程学》 和《网警-公众号》 的内容做的分析
场景分析:
1.未来骗子会更多,因为未来“更多的人”越来越难赚到钱
技术发展--》技术人员要求更高--》找不到工作的人+++---》没有钱(这时候骗人)[钱+++]
他们利用广撒网钓鱼,或者针对敏感人员(机关单位)勒索,再加上黑产(需求大)。。。。。。。
2.可能很多人对第一点不赞同,我自己也不敢苟同,但很多情况下,有为了生存,别无选择
曾有这么一个事,有一个被抓的骗子,经调查后,才知道他有妻儿老小,一天妻子病倒,没钱做看病,打算向医院求助,先把病看了,钱的事先欠着,一定还。可后来,妻子一再被搁置,等一家没办法的时候只能回家,妻子自己知道自己的事,又怕家里担不起,就先走啦,后来男子,接受不了,孩子也确实还小,需要好的照顾,他选择了去骗钱偷钱。最终被抓。
社会工程学简述:
一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段取得自身利益的手法
核心:
人是这个系统中最薄弱的一环(前提是这个系统存在交互)
人的六大本能:
【听从权威】 【行为可预见】 【建立朋友关系】 【从众】 【人情心】 【稀缺性】
骗子是如何设计你的:
先来看看骗子是如何设计你的,这里有一个前提是目标对象的个人信息收集
人物信息:
1.喜欢猫咪 (实习生) --》 由于刚开始工作,而且朋友圈没猫的合照--》没有猫
2.她最好的朋友从事医生and自己分享一些养生的头条 --》 不是护士就是医生
3.曾经群发过一些免费体验的消息 --》 小气,薪水不高
4.朋友圈发布图片 --》 记下位置
制作攻击场景
钓鱼攻击手法科普:
就是把一个网站克隆下,自己修改后台搭建一下,然后在网址那里做到很像原来的(大部分人是不会看网址对不对),然后你在这个假网站登陆后,账号密码就落到了骇客手里,还有的骇客会把通过加载恶意插件的方式,直接黑了你电脑
结合人物信息分析
1,3 --》 发布免费领养猫的信息,留一个恶意链接结合钓鱼
2,3,4 --》通过她的位置,职业,薪水不高 --》发一个关于提升自己医学水平的讲座,是前100名免费(稀缺性) + 钓鱼链接
结合社工分析:
【听从权威】
概念:
人们对于比自己职位大的,权威机关,辈份大的往往会更容易选择听从
案例.
冒充老总或领导发邮件给你要求公司员工通讯录
案例
下面这个图中,冒充领导,中领馆,公检法,维护公司上门服务。。。。。。
全部
由于故事很多,我们只需要知道手法就可以啦,可以看到,骗子很会利用这一点,
可能很多人觉得自己不会上当,但是,如果高明一点的骗子,会给你施加压力的
比如:冒充你老板,给你发一个消息+木马链接,信息内容:
你今天怎么回事,这个事怎么干的,你看看http://sdfnjsd.comd/inde.html(假如这个是钓鱼链接,我自己瞎打的)
由于他是你领导,你害怕老板生气,你一定会打开这个链接,如果老板发给你一个可执行附近(病毒)
同理,你也一定会打开。
恶意链接
如何避免:
1.一定要核对信息,给你联系的到底是谁
2.自己账号密码,和手机验证码,不给任何人。谁也没权利,要知道真正客户修改信息,不需要这些
3.一定要把公司和自己朋友亲人的电话存好,并及时更新
4.遇到冒充领导的人,一定要及时在公司群里及时反应(急),因为,可能是你公司的通讯录泄露,你不上当,一定由同事上当
5.给你电话说自己出事,想引导你私下解决的权威机构,一定是假的
【行为可预见】
概念:
一个人,给他一个特定刺激,他接下来的反应,会有预见性
这里用一个小把戏的例子最能说明这个问题:
当你给别人演示一个小把戏,他也会立马展示给你
例子1:
前
后
例子2.
“安装了这个app,在全石家庄就可以使用免费的wifi“
你说 你会不会安装上这个app? 我可以告诉你,这就是一个木马病毒,你只要安装上,就立马会被黑
例子3.
当你在”厕所“捡到一个u盘,或者捡到一个光盘,上面写着 人员工资分配,你会怎么办?
之所以强调 --厕所 是因为给目标营造一个因为丢死者粗心而丢失的概念
目标--》遇到此刺激 --》做出反应
想让目标做一个特定反应 --》 制作场景刺激 --》目标上当
如何避免:
1.凡是链接,带有引诱性的,都不要点击
2.对于u盘,光盘,这种接入自己电脑设备的设备,第一时间给部门领导(同理,可能由同事已经上当)
3.不安装非官方(官方是一些比较出名的应用商店)app
4.对于小把戏,不要轻易去做,即使别人都做啦
5.具备基本的常识,比如,能开发一键盗取别人qq号的工具,你觉得腾讯厉害还是这个黑客厉害
【建立朋友关系】
概念:
每个人,都不会主动去得罪人,都会想交朋友的心态去对每个人
当这个人,和你 同一级别 | 能力差不多 | 爱好相同 你更容易信任他,这时候你会卸掉防备
这个没什么可说,这个主要是用来让目标放下防备
用来更方便获取目标一些个人信息,喜好,家庭,职业
以方便下一步攻击做好准备
这个才是最难防的,防不胜防,总不能去生活中老去怀疑吧
不过,这个能让我们知道到是谁想要了解你
至于目的性,这个需要你自己去考虑
如何避免:
1.与陌生人交谈不说自己隐私
2.当别人想你问别人隐私时,想好这个人的目的性,不给别人制造麻烦
【从众】
概念:
和别人一样,别人全都做过,自己也要做的一种心理活动
如果你不这样,你容易受到别人的排斥
例子1:
这个补丁别人都装了,为什么你没装?不装的话容易被别人黑呐
结果你装了,人家得手啦
例子2:
这个你还没激活?我们都激活啦,我这有激活工具,你拿去吧
可能这个激活工具有用,但是一定是激活工具捆绑病毒啦
例子3:
街头赌博,为什么骗子找托
因为,别人都这么做,而且都赚发啦,你为什么不呐?
例子4:
传销案例太多
其中一部分,是因为看到很多人在这方面赚了,才开始去涉及的
如何避免
1.有自己的判断,不贪便宜
2.对于安装不知名工具和app,一定要谨慎
3.多问问,多怀疑
【人情心】
概念
当别人帮了你,你也一定帮别人
当你去帮一个人的时候,心理会理所当然的认为
现在我帮了他,将来他一定会帮我
所以,你才会去做一些事去帮助他
例子1:
当我想进入你们公司,我可以双手拿上满满的东西
当你看到我腾不出手拿开门,你一定会用你的门禁卡,帮我开门进入
例子2:
给你一个免费的机票,告诉你是你公司给你定的,明天要出发
这么突然,你明天肯定准备不好,然后这时候,告诉你,我可以帮你修改到下个月
然后只需要确认下是你本人就好
问你身份证账号和密码,说不定你都会被套出
如何避免
1.可以帮助你想帮助的人,但是绝对不要违背法律,公司规定
2.公司做好相关规定,并制定赏罚措施
【稀缺性】
概念
就是这个信息,交易品存在过期不侯
过了这个村,就没这个店的简单意思
例子1:
你中了iphone,五折购买权力,只有半个小时,而且只能在这个网店购买(免费没人信)
--》那个网店是个钓鱼网站,你只要全程进行一遍交易,账号密码,支付密码全被盗取
例子2:
我们丢失了你的账号信息,你的账号可能会被删除,如果不提供信息,明天会被系统收回
--》为了专业性,包括你的历史密码,也会被套出
如何避免:
1.不贪便宜,没有免费的午餐
2.不要相信网页的真实性,网站界面修改很简单
3.在陌生网站上,不输入账号密码
4.设定密码复杂度难一些
5.定期修改重要账号密码
总结:
1.一切问题都出在,信息泄露上面,骗子联系到你,就是知道你的一些信息(以后朋友圈不要发敏感信息)
当然,很多信息泄露来源于一些公司内部,还有黑客入侵上面,还有数据商互相买卖,这些都是我们控制不了的,但我们自己要做到,不泄露自己和他人敏感信息
2.公司单位应该定期培训安全,完善赏罚制度。
公司职员接到诈骗电话,但是她没和领导说,导致,信息不通,别的职员因缺乏相关安全知识遭受攻击
3.学校敏感单位,网站安全性必须要加强,做好等级保护
学校学生信息是一大信息源,而且很敏感,好比每年交学费时期,诈骗居多
4.上面的例子,都是浓缩过的,也写的不够全,但是基本点都差不多
希望能帮到大家,再次,希望大家受到诈骗电话啦,积极向网警和有关部门反应
即便是很少的金额,(他们肯定骗了很多人啦,他也是这种心理)
网友评论